Les MSSP démocratisent l'accès à la cybersécurité
En proposant des services managés de type SOC ou XDR, ces prestataires d'un nouveau genre s'adressent aux PME dont le budget et les compétences sont limités.
A la grande loterie des cyberattaques, les entreprises sont des proies particulièrement vulnérables. Sur 500 TPE et PME interrogées pour le compte de Cybermalveillance.gouv.fr, 15% d'entre elles déclarent avoir été touchées par un incident de cybersécurité durant les douze derniers mois, de type hameçonnage ou téléchargement d'un virus.
En dépit d'une réelle bien que récente prise de conscience des risques cyber, peu de ces entreprises disposent d'un système de protection à la hauteur de la menace par manque de temps, d'expertise ou de budget. Plus d'une TPE ou PME sur deux avoue ne pas être sûre que les solutions en place soient adaptées à leurs besoins.
Si la plupart de ces entreprises disposent d'un antivirus (87%) ou d'un pare-feu (66%), plus rares (11%) sont celles qui bénéficient de la supervision de leur système d'information assurée par un centre des opérations de sécurité (SOC). Et si deux organisations sur cinq estiment être fortement exposées à la menace, plus des deux tiers déclarent ne pas avoir mis en place de procédure interne en cas de cyberattaque.
Vol, destruction de données, interruption de l'activité, perte financière, atteinte à l'image et à la réputation, risque de pénalités pour non-conformité au RGPD... Les conséquences d'une cyberattaque ne sont pas neutres et certaines petites et moyennes entreprises ne s'en sont pas remises, devant mettre la clé sous la porte.
Externaliser le risque cyber
La cybersécurité n'étant pas au cœur de leur activité, ces PME peuvent l'externaliser en se tournant vers une nouvelle génération de prestataires. Ces fournisseur de services de cybersécurité managés ou MSSP (managed security service provider) assurent à distance la sécurisation d'un système d'information, de sa supervision à la réponse sur incident en passant par la détection proactive des menaces.
Plus de solutions ou d'équipements à acquérir et à maintenir, le service est proposé sous forme d'abonnement forfaitaire. En mutualisant leurs ressources pour un grand nombre de sociétés, ces MSSP peuvent proposer, à des coûts acceptables, des prestations de type SOC, qui étaient jusqu'alors l'apanage des grands comptes, en version managée.
Les MSSP sont des ESN, des intégrateurs, des revendeurs dont les plus connus sont Capgemini, Orange Cyberdefense, Intrinsec, CPX ou Atheo. Partenaires d'éditeurs spécialisés comme Check Point, Kaspersky, Palo Alto Networks, Fortinet, SentinelOne, I-Tracing ou Pradeo, ils proposent à leurs clients les solutions de scanner antivirus, de pare-feu, de sauvegarde automatisée ou les outils de détection et de réponse (EDR, XDR) de ces derniers sous forme de services managés.
Généralement partenaire de plusieurs éditeurs, un MSSP réunit, dans une approche best of breed, les meilleures offres pour apporter une solution sur mesure à l'entreprise finale. Des distributeurs, comme TD Synnex ou Arrow, jouent également ce rôle d'agrégateurs de solutions. Ils assemblent des briques technologiques de différents fournisseurs et les packagent pour les proposer sous forme de services en marque blanche aux prestataires.
Pour assurer la protection à distance des systèmes d'information de leurs clients, les MSSP sont dotés d'outils de surveillance des actifs matériels - RMM (Remote Monitoring Management) – et de monitoring du patrimoine applicatif - APM (Application Performance Monitoring). Cet outillage est complété par un système de gestion des informations et des événements de sécurité (SIEM) et une plateforme qui orchestre et automatise les réponses de sécurité (SOAR).
Un marché sous-exploité en France
Déjà bien ancré aux Etats-Unis et dans les pays scandinaves, le modèle MSSP connaît désormais un développement mondial. Selon une étude de Canalys, le marché des services managés de cybersécurité était évalué à 70 milliards de dollars en 2023 et devrait croître de 15 % cette année. La panne majeure qu'a connu mi-juillet CrowdStrike, grand pourvoyeur en MSSP, ne serait pas de nature à enrayer cette belle dynamique selon le cabinet d'études.
Pour Philippe Guerber, MSSP Lead chez Check Point. "Le marché des MSSP est encore sous-exploité au regard du nombre de PME qui représentent en France l'essentiel de notre tissu économique". Selon lui, elles ont des moyens financiers et des compétences cyber et peinent à suivre un cadre réglementaire qui évolue constamment (DORA, NIS 2).
Ces entreprises vont généralement contracter avec un prestataire local. "Tout débute par une phase d'audit pour cerner les besoins, poursuit Philippe Guerber. En fonction du secteur d'activité et de l'organisation du travail, les risques ne sont pas les mêmes. Une entreprise qui a généralisé le télétravail et déployé une flotte de mobiles augmente mécaniquement sa surface d'exposition aux risques." A ses yeux, les MSSP ne peuvent se contenter de "vendre des produits" mais doivent endosser le rôle de conseiller.
Pour Kizitho Ilongo, directeur de la business unit cybersécurité chez TD Synnex, "le marché des MSSP offre un boulevard pour les intégrateurs et revendeurs de proximité qui disposent déjà d'un historique et d'une relation de confiance avec leurs clients. Ils doivent monter en compétences et développer une offre de services managés. S'ils ne le font pas, ce sont les grandes sociétés de services nationales qui s'engouffreront dans la brèche."
"Un MSSP vend de la tranquillité d'esprit, enchaîne son collègue, Cédric Sroussi, directeur technique des Services Advanced Solutions chez TD Synnex. Face à une offre cyber particulièrement riche et complexe, il apporte de la simplification. Une entreprise paie déjà tous les mois un système d'alarme pour sécuriser ses locaux. De même, elle attend une offre cyber complète à un prix abordable".
Pour poursuivre l'analogie avec la sécurité électronique, "le déclic vient généralement de la PME d'à côté qui s'est fait cyberattaquer". Une société de cyber assurance peut aussi exiger, entre autres garanties, de recourir à ce type de prestation pour couvrir le risque.
Changement de modèle économique
Le modèle de tarification prend couramment la forme d'un abonnement, mensuel, trimestriel, annuel voire pluriannuel. N'ayant plus à investir dans des solutions cyber, la PME passe, sur le plan comptable, d'un modèle Capex (dépenses d'investissement) à un modèle Opex (dépenses d'exploitation). Du côté du prestataire, c'est un changement de modèle économique. Il ne vend plus de la régie, des "jours hommes", mais un service générant des revenus récurrents. A lui de faire du volume et de tenir la promesse de l'économie d'échelle de la mutualisation des ressources.
Pour Kizitho Ilongo, le prestataire doit également avoir le sens de l'écoute et proposer une solution adaptée au contexte de l'entreprise, à son métier. "Si la supervision doit être permanente, en 24/7 ; pour éviter la dissémination d'un malware au sein du système d'information, certaines actions de remédiation peuvent, dans de petites organisations, attendre le lundi matin."